近年来,加密钱包安全事件频发。
根据慢雾 MistTrack 所接触的受害者信息收集整理,钱包被盗的事件占比高达 60%,显而易见钱包是最有利可图的目标,因此,钱包的安全性至关重要,当然,对钱包进行安全审计更是重中之重。
作为在区块链耕耘已久的一员,慢雾科技在区块链世界独特的安全架构方面拥有丰富且领先的实战经验。慢雾的相关安全服务已经覆盖超数十家行业内顶级的钱包,如 imToken、Huobi Wallet、RenrenBit 钱包等。为了更好地增强各类加密钱包的安全性,慢雾科技在已有审计项的基础上进行扩展,新增了对扩展 / 插件钱包的审计。
下面让我们以问答形式来一睹为快!
插件钱包与常说的“钱包”有什么不同?
☟
插件钱包是指基于浏览器 (主要是 Google Chrome) 开发的钱包。
插件钱包管理的助记词 / 私钥是与 DApp 相互隔离的,理论上第三方组件 (如:DApp 或其他插件) 很难通过技术手段突破隔离对插件钱包进行攻击,所以安全性有一定的保证。
插件钱包配置简单,使用更方便,在官方渠道下载安装后勾选开启插件,使用时点击图标就可进入钱包,并且使用钱包管理助记词 / 私钥。
插件钱包的助记词 / 私钥的管理操作更方便和安全,仅需要在插件钱包中 " 点点点 " 就能轻松的发起一笔转账,签名一笔交易,或者管理助记词 / 私钥。
慢雾在插件钱包安全方面有什么研究?
☟
慢雾安全团队从钱包生命周期 “助记词 / 私钥的生成,助记词 / 私钥的存储,助记词 / 私钥的使用,助记词 / 私钥的备份,助记词 / 私钥的销毁” 这五大过程的安全作为主要切入口进行安全研究,并梳理插件钱包安全的最佳实践,并在实战过程中挖掘了不少优质的插件钱包的攻击面。
如:
-
某些场景下可通过 DApp 页面获取助记词 / 私钥;
-
某些场景下可通过跨域方式获取助记词 / 私钥;
-
某些场景下可在钱包锁定后获取助记词 / 私钥;
-
某些场景下可构造签名数据进行假充值 / 假转账。
(攻击面很多,欢迎来撩 )
慢雾对插件钱包的整体安全审计是什么样的?
☟
慢雾安全团队对钱包的审计涵盖渗透测试内容,且比渗透测试服务更全面与精细。不仅会对目标项目进行漏洞发现提出修复方案,还会提出建议执行的安全增强点或最佳安全实践,以杜绝未来可能出现的安全风险。安全审计将提供更全面更多维的企业安全体系落地建设依据,并根据项目方需求出具专业的安全审计报告。
当慢雾在审计插件钱包时,慢雾在审什么?
☟
对于任何一款钱包来说,账户安全 / 私钥安全都是极为重要的。因此,我们在对扩展 / 插件钱包进行审计时,仍然将重点放在助记词 / 私钥这一部分。具体可以参考下图:
插件钱包安全审计主要使用哪些测试方式?
☟
我们主要采用 “黑盒与灰盒结合为主,白盒为辅” 的方式。
黑盒测试:站在外部从攻击者角度进行安全测试。
灰盒测试:通过脚本工具对代码模块进行安全测试,观察内部运行状态,挖掘弱点。
白盒测试:基于项目的源代码,进行脆弱性分析和漏洞挖掘。
如何理解漏洞等级?
☟
严重漏洞:会对项目的安全造成重大影响。
高危漏洞:会影响项目的正常运行。
中危漏洞:会影响项目的运行。
低危漏洞:可能在特定场景中会影响项目的业务操作。
弱点:理论上存在安全隐患,但工程上极难复现。
增强建议:编码或架构存在更好的实践方法。
对插件钱包有什么展望?
☟
随着区块链产业的多链多元化发展,插件钱包似乎也开辟了一条新赛道。其实慢雾陆陆续续审计过不少知名的插件钱包,例如:波场推出的第一款插件钱包 TronLink、由星火矿池推出的 GasNow、适配 Alaya 网络和 PlatON 网络的 Samurai、ICON 的第一个移动钱包 MyIconWallet、以及 DeBank 团队于前不久推出的 Rabby 等等。目前对于插件钱包的发展,还是很可观的,非常值得关注。
有什么想对大家说的?
☟
加密钱包审计重点在于解决常见的安全漏洞,规避可能出现的安全风险。作为用户,希望能增强安全意识,不要随意泄露助记词 / 私钥。作为项目方,对于安全问题的重视程度远远不够,希望加密钱包项目方对于安全标准能有更好的认识,与我们一起共同保护用户资产的安全。